Câu 1. Trình bày cách tổng hợp các quyền truy cập? Cho ví dụ minh họa? • Trước hết ta tổng hợp các quyền truy cập mà người sử dụng có được nhờ được trao trực tiếp, và được kế thừa từ các nhóm mà họ là thành viên (khi tổng hợp, ta phân thành hai nhóm là: quyền truy cập từ xa và quyền truy cập cục bộ). Quyền tổng hợp ở đây sẽ là hợp của các quyền mà người sử dụng có được nhờ được trao trực tiếp, và các quyền kế thừa từ các nhóm mà họ là thành viên, trừ ra những quyền bị cấm tường minh. Ví dụ: Nếu người sử dụng A được trao quyền truy cập từ xa Change (bao gồm cả các quyền Modify, Read, Write), và quyền truy cập cục bộ Modify, Write đối với thư mục TP7. Giả sử A là thành viên của nhóm N1, nhóm này được trao quyền truy cập từ xa Read, và quyền truy cập cục bộ Read, trong khi bị cấm tường minh hai quyền truy cập cục bộ Modify và Write đối với thư mục TP7. Khi đó quyền tổng hợp từ xa mà A có được đối với thư mục TP7 là Change, quyền tổng hợp cục bộ là Read. • Sau đó quyền tổng hợp thực sự mà người sử dụng có được sẽ là những quyền hạn chế nhất giữa các quyền tổng hợp từ xa và các quyền tổng hợp cục bộ, tức là sẽ bằng giao của các quyền tổng hợp từ xa và các quyền tổng hợp cục bộ. Như trong ví dụ trên, thì quyền truy cập thực sự của A đối với thư mục TP7 sẽ bằng giao của Change và Read, cho kết quả là Read. Câu 2. Trình bày các loại nhóm bảo mật và sự khác nhau giữa chúng? Domain local (cục bộ miền): được sử dụng để gán các cấp phép truy cập tới các tài nguyên Global (toàn thể): được dùng để cung cấp các thành viên đã được phân loại trong nhóm cục bộ miền cho các đối tượng bảo mật hay việc gán cấp phép một cách trực tiếp Universal (tổng hợp): được sử dụng chủ yếu để trao các cấp phép truy cập tới các tài nguyên trên nhiều miền Câu 3. Sự khác nhau giữa tài khoản người dùng của máy và tài khoảng người dùng của miền? Tài khoản người dùng cục bộ là tài khoản người dùng trên máy tính cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ Tài khoản người dùng miền là tài khoản người dùng trên active directory và được đăng nhập trên máy trạm bất kỳ thuộc vùng. Tài khoản này có thể truy cập tài nguyên trên mạng Sự khác nhau: Câu 4. So sánh giữa OU và Nhóm? Organizational Unit: Là đơn vị nhỏ nhất trong AD, OU trao quyền kiểm soát một tập hợp tài khoản người dùng, máy tính hay các thiết bị mạng cho 1 hoặc 1 nhóm phụ tá quản trị viên (subadmin) để giảm bớt gánh nặng cho admin. OU kiểm soát và khóa bớt một số chức năng trên máy trạm thông qua chính sách nhóm nhóm là đối tượng đại diện cho một nhóm người, dùng để quản lý các đối tượng dùng chung. Việc phân bổ các người dùng vào nhóm giúp ta dễ dàng phân quyền trên các tài nguyên mạng Câu 5. Trình bày cấu trúc của Active Directory? Objects Là các đối tượng thông dụng như user, group, printer... Organizational Unit: Là đơn vị nhỏ nhất trong AD, OU trao quyền kiểm soát một tập hợp tài khoản người dùng, máy tính hay các thiết bị mạng cho 1 hoặc 1 nhóm phụ tá quản trị viên (subadmin) để giảm bớt gánh nặng cho admin. OU kiểm soát và khóa bớt một số chức năng trên máy trạm thông qua chính sách nhóm Domain Là đơn vị chức năng nòng cốt của cấu trúc logic AD. Đóng vai trò như 1 khu vực quản trị các object,Giúp quản lý bảo mật các tài nguyên chia sẻ,Cung cấp các server dự phòng Domain tree: là một mô hình nhiều domain chung nhau một không gian DNS Forest: Một AD chứa nhiều domain tree được gọi là forest Câu 6: Nêu khái nhiệm nhóm và các nhóm trên Windows Server. Trình bày sự khác nhau giữa nhóm bảo mật và nhóm phân phối thư tín? Tài khoản nhóm là đối tượng đại diện cho một nhóm người, dùng để quản lý các đối tượng dùng chung. Việc phân bổ các người dùng vào nhóm giúp ta dễ dàng phân quyền trên các tài nguyên mạng Nhóm bảo mật được dùng để cấp phát các quyền hệ thống và quyền truy cập Nhóm phân phối được dùng cho các chương trình không liên quan gì tới bảo mật Câu 7. Thế nào là quyền truy cập từ xa? Có những quyền truy cập từ xa nào? khi nào thì quyền truy cập từ xa không có ý nghĩa? quyền truy cập từ xa cho phép người sử dụng từ những máy tính khác trong mạng, được truy nhập vào hệ thống thư mục của một máy tính có thư mục chia sẻ. Các quyền truy cập từ xa gồm: Full Control: Cho phép thực hiện tất cả mọi công việc trên tất cả các file và thư mục con trong thư mục chia sẻ. Change: Cho phép đọc và thi hành, cũng như thay đổi và xoá, các file và thư mục trong thư mục chia sẻ. Read: Cho phép đọc và thi hành các file, xem nội dung thư mục chia sẻ, không có khả năng sửa đổi hoặc xoá bất kỳ thứ gì trong thư mục chia sẻ. Khi đăng nhập tài nguyên trên chính máy tính chứa tài nguyên đó thì quyền truy cập từ xa không có ý nghĩa. Câu 8. Trình bày vai trò của Active Directory? Lưu các thông tin người dùng vào máy tính Chứng thực và quản lý đăng nhập Duy trì bản chỉ mục giúp cho quá trình tìm kiếm tài nguyên mạng nhanh hơn Cho phép tạo ra nhiều tài khoản người dùng với mức độ quyền khác nhau Chia nhỏ domain thành nhiều subdomain hay OU (organizational unit) Câu 9. Phân biệt quyền hạn (Rights) và quyền truy cập (Permissions)? • Quyền truy cập (Permission): Chỉ mức độ người sử dụng có thể truy cập vào một file hoặc một thư mục. • Quyền hạn (Rights): dùng để chỉ mức độ mà người sử dụng có thể thực hiện đối với hệ thống Câu 10. Khi người dùng được trao cả quyền truy cập đối với một thư mục, và cả với một số file và thư mục con của nó thì Windows Server sẽ xử lý như thế nào? Khi người sử dụng được trao cả quyền truy cập đối với một thư mục, và cả với một số file hay thư mục con của nó, thì chỉ quyền truy cập đối file hay thư mục con là có hiệu lực. Như vậy nếu một người sử dụng có thể được trao toàn quyền sử dụng một thư mục TP1, nhưng sau đó lại chỉ được trao quyền chỉ đọc đối với file vanban.doc nằm trong TP1, thì người sử dụng đó vẫn không thể sửa được nội dung của file này Nhưng cũng có ngoại lệ là nếu người sử dụng có quyền mọi đối tượng trong một thư mục, nhưng lại được trao quyền cấm xoá đối với một file hay thư mục con của nó, thì thực chất người sử dụng vẫn xoá được file hay thư mục con này. Câu 11. Trình bày những đặc điểm chính của tính năng cài đặt phần mềm, phân biệt giữa quảng bá và phân bổ một gói phần mềm? Quảng bá (Publish) một gói phần mềm cho những người dùng là ta đang làm cho nó sẵn dùng (available) đối với những người dùng đã đăng nhập vào mạng (không phân biệt là họ đăng nhập ở máy tính nào), và có cài đặt nó hay không là tuỳ ý người dùng. Phân bổ (Assign) là cách thức ta cài đặt một gói phần mềm cho các người dùng hoặc các máy: nếu phân bổ cho người dùng, thì nó sẽ được cài đặt khi người dùng ấy đăng nhập; nếu phân bổ cho máy, thì nó sẽ được cài đặt khi máy được khởi động. Câu 12. Trình bày chức năng chính của chính sách nhóm? Triển khai phần mềm ứng dụng Gán các quyền hệ thống cho người dùng Giới hạn những ứng dụng mà người dùng được phép thi hành Kiểm soát các thiết lập hệ thống Kiểm soát các kịch bản đăng nhập, đăng xuất, khởi động, và tắt máy Đơn giản hóa và hạn chế các chương trình Hạn chế tổng quát màn hình desktop của người dùng